网格环境下基于联合代理证书的社区授权服务的uml建模研究.pdfVIP

il奠薹蝼!望塑苎查 网格环境下基于联合代理证书 M 的社区授权服务的UL建模研究米 张梅1，王汝传卜2，王海艳1 (1．南京邮电大学计算机科学与技术系，江苏南京210003； 2．南京大学计算机软件新技术国家重点实验室，江苏南京210093) 摘要：随着网格研究的不断深入，网格安全问题不容忽视。访问控制是安全防范和保护的主要 策略，而GSI中的授权机制难以扩展到拥有大量资源和大量用户的大规模网格环境中。社区授权服务 阐述了社区授权服务机制的关键技术，并将联合代理证书机制融合到社区授权服务中，对进一步完 善社区授权服务体制具有较大的实用价值。 关键词：统一建模语言 网格访问控制联合代理证书 面向对象 网格社区是参考人类社会中的社区而建立的概念， 要维护一个庞大繁琐的全局，本地映射表，这种授权机 目的是管理网格中的各种资源，快速实时地把资源请求 制越来越显现出难以适应网格环境的一面。CAS正是针 者和资源提供者联系起来。由于一个社区的管理资源数 对这种大规模网格环境中存在的授权机制问题而提出 目有限，只是网格上所有资源的一小部分，因此可以实 的。考虑到单点登录问题，可以将联合代理证书加入到 现粒度更细的资源管理，其上的各种操作也比在网格上 社区授权服务机制中，在用户的联合代理证书中加入 进行同样的操作要快。 CAS的授权声明(即策略声明)来实现授权的访问控制。 资源需求相对集中的一个用户群可以构成一个用 在研究社区授权服务机制的过程中，对其进行建 户集合，这个用户集合需要建立一个资源注册和发现中 心，任何一个合法的用户都可以向该中心注册自己拥有 Modeling 的资源或自己发现的、可以被用户集合中的其他用户使 大且普遍适应的可视化图形建模语言。它融合了Booch、 用的资源，该集合中的任何一个用户都可以从该中心发 现自己需要的资源。通过建立注册和发现中心，可以使 些基本概念与其他面向对象方法中的基本概念大致相 这个用户集合中的所有用户与注册在这个注册和发现 同，因而，UML成为了这些方法以及其他方法的使用者 中心的所有资源构成一个相对独立的实体集合——网 乐于采用的一种简单、统一的建模语言。UML已被OMG 格社区。在网格社区中，除了用户和资源外，还包括一些 (ObjectManagementGroup)接受并推荐使用，成为事实上 用户和资源都必须服从的策略。 的业界标准。因此，本文重点讨论使用UML对社区授权 社区授权服务(CAS)就是网格社区中的一种策略，服务进行建模的过程。 它是一个以社区为单位建立可信任第三方并实现社区 1网格环境下的联合代理证书机制 内资源访问控制的机制，即在每一个社区内部建立一个 当一个网格计算需要使用几个网格资源(每个都需 CAS服务器来维护社区的策略。在传统的网格授权机制 要双向的认证)或者需要有请求服务Agent来代替一个 中，网格安全基础设施GSI(GridSecurityInfrastructure)要用户时，创建一个代理可以避免重复敲入用户密码。在 求每一个访问信息资源的全局用户都需要在本地资源 网格环境下，GSI以X．509证书实现认证，并通过对X． 服务器上拥有一个自己的账号。这样，在网格这种拥有 509证书进行扩展，产生代理证书。用户如果没有创建 大量资源和大量用户的环境中，每一个资源服务器都需 这个代理证书，则不能提交作业，也不能传输数据。这个 t本课题得到国家自然科学基金、江苏省自然科学基金(BK2005146)、江苏省高 技术研究计划(BG2004004、BG2005038)、国家高科技项目863(2005AA775050)、江苏省计算 机信息处理技术重点实验室基金(kjs050001)和江苏省高校自然科学研究计划(05KJB520092) 资助。